Donner tous les mots de passe à son employeur

Question

Bonjour,

je ne sais pas si je post au bon endroit mais j'espère que vous pourrez me conseiller.

J'exerce notamment la fonction de responsable réseau au sein de mon entreprise.

Mon employeur insiste pour que je lui donne tous les mot de passe de l'entreprise : ordinateurs, mail, administration email, réseau, serveurs, stockage de fichiers, bases de données, sites internet et tout le reste...

Un extrait d'un mail reçu ce matin de la part d'un cadre avec bénédiction de mon boss : 
"Il n’est pas normal qu'(mon directeur) et moi n’ayons pas accès à tout et surtout que tu sois le seul à l’avoir en ta possession."

Je trouve déjà que distribuer ces passes à tout va à des personnes non-qualifiées est spécialement dangereux mais je crains en plus les dérives que cela peut supposer.
J'ai été obligé de lâcher certains pass aujourd'hui devant ce qui équivaut à une injonction hiérarchique. Seulement je ne crois pas légal qu'un patron puisse demander à avoir la totalité des accès de tout le monde juste pour les avoirs sous le coude au cas où.

J'ai un peu cherché sur Internet mais j'entends tous et son contraire. Avez-vous été confronté à ce genre d'expérience et suis-je obligé de lui fournir tout ce qu'il demande ?

Merci,

jee pee · Accepted Answer

Bonsoir,

A partir de ton message je prendrais peut être la question par un autre axe. 

"surtout que tu sois le seul à l’avoir en ta possession." Ça d'abord c'est inquiétant qu'une seule personne détienne tous les accès. Pour 2 raisons simples, il peut t'arriver un pépin, tu pourrais vouloir jouer ou faire pression avec ce pouvoir.

Il semble donc normal que la direction s'inquiète d'une telle situation. Tu aurais même du anticiper et prévoir quelque chose. Alors tu n'aurais pas été confronté à ce dilemme aujourd'hui.

Après il y a un lien de subordination entre le salarié et l'employeur (ou son représentant). Tu dois te conformer à leurs instructions. 

Qu'est-ce qui te fait imaginer qu'ils pourraient en faire un mauvais usage ? Plus que toi ?

Dans le détail il y a peut être par exemple les mots de passe mails des salariés où la question pourrait se poser. Mais si c'est bien fait, les codes d'accès perso des employés sont générés par l'informatique. Quand elle communique ces mots de passe elle conseille aux salariés de les changer. Après l'informatique n'a plus comme solution que de réinitialiser les mots de passe. Ainsi le salarié saura que son mot de passe a été changé.

cdlt

toulix · Answer

Bonjour,

Moi personnellement, je serai contre lui donner les pass, je trouve cette demarche abusive... Si il veut que ses employes n'utilisent pas le réseau a des fins prives ou malhonnetes il n'a a mon avis qu'a demander a son super responsable reseau de mettre des pare feu et des controles ... ^^

Maintenant, cote legal, je pense que le mieux serait de consulter deja la CNIL :
https://www.cnil.fr/

Et ensuite aller sur le site du gouvernement pour consulter les textes de lois :
https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000441676/2020-12-06/

par exemple !!

Ensuite rien ne coute de passer quelques coups de telephone pour de plus amples informations ... ^^

toulix · Answer

Effectivement, il y a certains codes qu'ils sont en droit d'avoir ce qui est logique. Mais cote salarie, je me renseignerai avant. ^^
Il est vrai que c'est un sujet epineux et pas toujours facile de trancher...

jee pee · Answer

D'ailleurs pourquoi l'informaticien serait-il plus fiable ?

Ce n'est pas une profession soumise à une notion de secret professionnel ou un code d'éthique ;-))

riziere · Answer

Merci pour vos réponses et avis. Je me suis un peu documenté hier soir et j'ai plus trouver plusieurs pistes

Pour apporter un complément ou répondre à vos questionw :

Au sens légal, un administrateur réseau utilise dans sa mission des outils qui, techniquement, lui permettent d'avoir accès à beaucoup de choses. Par exemple les fichiers des employés sur leur PC ou sur réseau, l'historique de navigation voire les mails. Toutes ces données peuvent relever d'un caractère privé même s'ils sont sur les systèmes de l'entreprise. Il n'a pas à y accéder et n'en a généralement pas besoin dans sa mission.
Mais la loi prévoit qu'un administrateur réseau soit soumis au secret professionnel. Il a pour mission de gérer et de faire fonctionner au mieux possible les réseaux de son entreprise, bien entendu de répondre aux demandes de son employeur comme tout salarié mais aussi d'assurer la sécurité et la confidentialité des données des employés. Et c'est ces deux derniers points qui peuvent être contradictoire.

Révéler des données à caractère privé ou permettre à un tiers, même s'il s'agit de sa hiérarchie, d'avoir accès à ces donnée relève de la violation de la vie privée. C'est passible de 3 ans de prison et 45.000€ d'amande.

Il y a quelques années la société Nikon et un administrateur réseau furent tous deux condamnés dans ces circonstances. 

Le problème est là : faut-il commette un acte illégal sur ordre de sa hiérarchie (l'ordre en question ne deresponsabilise pas l'exécuteur face à la loi) ou faut-il tenir tête à son employeur avec les conséquences éventuelles ?

Voilà en gros ce que j'ai appris.

Le fait est que dans mon entreprise je suis le seul à avoir les compétences pour ces tâches. Il y a effectivement le risque d'accident et comme tout le monde j'ai le droit à mes congés. Jusque là il n'y a jamais eu de problème.

Cette part de risque n'est pour mon employeur qu'un argument trouvé après coup face à mon refus. Les écrits de ma direction sont très clair : ils veulent avoir accès à tout ! Parce qu'ils sont chef donc ils ont tous les droits. L'ambiance difficile qu'il y a en ce moment au bureau vis à vis de certains employés m'engage d'autant plus à faire attention. 

A défaut d'avoir une personne pour le seconder ou me remplacer en cas d'absence, j'ai proposé de mettre tous les accès sur papier puis dans une enveloppe scellée. Le tout étant conservé dans un endroit sécurisé. Tant que je suis là je fais mon taff et tout va bien puis si il arrive un malheur, la direction pourra ouvrir cette enveloppe et/ou la confier à un prestataire externe qui viendra régler le soucis.

C'est simple et cela n'engage la responsabilité de personne. 

Refus catégorique de la direction ! Ils (le boss et les cadres) veulent avoir tous les accès en clair à disposition et stocké dans leur boîtes mails. Bonjour la sécurité......

brupala · Answer

Salut,
Il faut distinguer plusieurs choses:
1- les acc&egrave;s aux administratifs aux &eacute;quipements r&eacute;seau, aux bases de donn&eacute;es, aux serveurs etc... il n'y a pas de raison qu'une seule personne les d&eacute;tienne, c'est un &eacute;norme risque pour l'entreprise.
Tu peux tr&egrave;s bien leur cr&eacute;er des comptes utilisateurs pour eux et les mettre dans les comptes administrateurs si tu veux.
2- les dossiers personnels, profils, comptes messageries des employ&eacute;s.
M&ecirc;me l'administrateur ne devrait pas avoir acc&egrave;s &agrave; ces dossiers, juste le pouvoir de r&eacute;initialiser les mots de passe, mais pas acc&eacute;der aux donn&eacute;es de ces comptes.

Tu devrais donc cr&eacute;er des comptes personnels &agrave; ces cadres, ou mettre leurs comptes actuels dans un groupe avec plus de privil&egrave;ges, mais en m&ecirc;me temps faire en sorte que les administrateurs n'aient pas acc&egrave;s aux donn&eacute;es personnelles.
C'est possible.

benours · Answer

Je ne suis pas spécialiste juridique, cet avis n'engage que moi...

Mais à ma connaissance, l'administrateur est responsable de son parc. S'il permet que ses utilisateurs (quels qu'ils soient) commettent des actes illégaux par manque de vigilance, il portera une grande part de responsabilité.

Si ça vaut lorsqu'un employé télécharge des divx depuis le boulot, à mon sens, ça vaut aussi lorsqu'un employé accède à "l'espace privé" d'un autre employé. Certes le chef n'est pas un employé comme les autres, c'est le supérieur hiérarchique. Mais dans ce cas, quel chef à le droit à ces infos? Le chef de service? De département? Le grand patron uniquement? Je prends un exemple: le chef de département demandes les mots de passes et s'en sert pour nuire à son supérieur hiérarchique: là soudain les avis risquent de s'inverser. Et qui rendra des comptes? L'administrateur.

Je pense donc que l'administrateur devrait effectivement rester "Le Maître des Clés". Évidement, il faut s'organiser pour qu'il y ait par exemple un administrateur en backup pour ne pas perdre tout un réseau pour un administrateur amnésique. Il faut aussi qu'il fasse la preuve de l'efficacité de ses stratégies en fonction des moyens dont il dispose.

Je suis tombé sur cet article intéressant concernant le mail:
http://www.juriscom.net/pro/1/priv19990810.htm
On y lit que la question de la protection de la vie privée en entreprise n'est pas tranchée, qu'elle dépend du contexte et de la jurisprudence. Ce que j'en déduis surtout, c'est qu'il y a tout un tas de cas où l'employeur n'a pas forcement le droit de consulter les données des utilisateurs. Encore une fois, l'administration est un métier d'administrateur, c'est de sa responsabilité, il a donc des devoirs mais aussi des droits.

Donner tous les mots de passe à son employeur

7 réponses

Votre réponse

Discussions similaires

Newsletters